Le choix du mot de passe idéal se résume à une bataille entre deux priorités : créer des mots de passe sûrs (longs et uniques) et faciles à retenir.

Vous pensez très probablement avoir plus de mots de passe que nécessaire. Cependant, avec le nombre croissant des cas de piratage de mots de passe, une bonne stratégie de protection s’impose et devient chaque jour plus essentielle.

Dans cet article, nous nous penchons sur les meilleures manières de stocker vos mots de passe, comment éviter les identifiants trop simples à deviner, et créer un mot de passe complexe et mémorisable.

Stocker ses nombreux mots de passe

Pourquoi se souvenir d’un mot de passe quand on peut le stocker ? Vous pouvez conserver vos mots de passe gratuitement dans les principaux navigateurs web et Microsoft Edge. Il est facile et même tentant de suivre cette voie, surtout lorsque le navigateur vous invite à les enregistrer. Mais cette méthode n’est pas la meilleure.

En revanche, un gestionnaire de mots de passe dédié comme Dashlane est préférable. Ils sont plus puissants et stockent vos identifiants dans un coffre-fort chiffré et fonctionnent sur votre PC et smartphone.

Les gestionnaires de mots de passe et les navigateurs ont toujours besoin d’un mot de passe principal qui déverrouille les identifiants sauvegardés. Même si vous n'avez qu'un seul mot de passe, il faut que ce soit un bon mot de passe.

Dans quelle mesure mon mot de passe est-il vulnérable ?

Vous seriez surpris de la rapidité à laquelle des mots de passe simples peuvent être piratés et les mois et années qu’il faut pour déchiffrer un code plus complexe. Comme le montre le tableau ci-dessous (élaboré par la société Terahash, spécialisée dans le piratage de mots de passe), le vôtre doit comporter au moins dix caractères pour être sûr, et plus il est long mieux c’est.

Des entreprises comme Terahash peuvent combiner plusieurs centaines de GPU pour créer de puissantes solutions de piratage de mots de passe capables de casser instantanément des mots de passe courts. Ce graphique illustre comment le simple fait d’ajouter quelques caractères supplémentaires peut rendre impossible le renversement d’un mot de passe, même avec plusieurs GPU.

Un pirate informatique doit également deviner l’intégralité de votre code, ce qui n’est pas une mince affaire. Il peut utiliser des attaques par dictionnaire, en essayant des mots courants et des mots de passe connus qui ont déjà été piratés. Ils peuvent passer par des attaques par masques, des règles et des tables arc-en-ciel générées de manière procédurale, ce qui facilite encore plus le hackage brutal des mots de passe.

Aussi, l’authentification à deux facteurs (2FA) peut déjouer un pirate informatique même s'il connaît votre code. Nous vous recommandons vivement d'utiliser cette méthode lorsqu’elle est disponible.

Quatre règles d’or pour créer un mot de passe plus sûr

Que pouvez-vous faire d'autre pour vous protéger ? Utilisez ces règles pour créer des mots de passe sécurisés.

Règle 1 : Les mots de passe doivent être aussi longs que possible

Faites en sorte que vos mots de passe soient le plus longs possible. Même un mot de passe composé d’une phrase familière, telle que PierreetJeanontgravislacolline, est bien plus sûr que bT6$g2, simplement parce que le premier est plus long.

Cependant, nous vous recommandons néanmoins d’ajouter de la complexité à votre code.

Chaque caractère d’un mot de passe peut être soit une minuscule, une majuscule, un chiffre, soit un caractère spécial comme %. L’utilisation des seules lettres minuscules offre 26 combinaisons par caractère ; l’ajout de lettres majuscules, de chiffres et d'un caractère spécial peut porter ce chiffre à 96 combinaisons par caractère.

Règle 2 : Créer des mots de passe uniques pour chaque site et service

Si l’un de vos mots de passe fuite et est comparé à votre nom d'utilisateur, les pirates peuvent exploiter cette information pour essayer d'utiliser le même nom d'utilisateur et mot de passe sur d’autres services. C'est pourquoi il est essentiel d'avoir des mots de passe uniques, afin que les dommages soient limités à un seul service.

Un gestionnaire de mots de passe génère automatiquement des codes uniques pour tous les sites et services utilisés.

Règle 3 : Un mot de passe est inutile s’il ne peut pas être mémorisé

Vous avez besoin d’un mot de passe mémorisable, ou d’un mot de passe facilement retrouvable (nous y reviendrons plus tard).

L’avantage d’un gestionnaire de mots de passe est que vous n’avez besoin que d’un seul mot de passe long.

Règle 4 : Un mot de passe n’est parfait que jusqu’à ce qu’il ne le soit plus

Dès que vous avez connaissance d'une violation de votre code, changez-le dès que possible.

Mettez fréquemment à jour vos mots de passe pour garder une longueur d'avance sur un potentiel piratage.

Six méthodes pour créer des mots de passe plus forts et ûrs

Maintenant que vous savez ce que sont des mots de passe sûrs, examinons 6 méthodes pour en créer.

Méthode 1 : La phrase secrète ou phrase de passe (passphrase en anglais)

Beaucoup recourent à une phrase secrète : une combinaison de mots ou de chiffres qui est longue et mémorisable. Il peut s’agir d'un dicton, d’une citation ou d’une série de mots qui ont une signification pour vous.

Ex : Lalibertéoulamort

Les phrases de passe ont tendance à inclure des lettres majuscules et des caractères spéciaux ; avec des chiffres elles gagnent en complexité.

Ex : Wrigley1060WAddisonSt

Par contre n’ayez pas recours à des phrases trop populaires, comme des passages de la Bible, car elles pourraient être utilisées dans une attaque par dictionnaire, par exemple.

Méthode 2 : Langues étrangères

Si un pirate utilise un dictionnaire, il peut d'abord essayer des phrases en anglais.

Mélanger les langues ne peut pas faire de mal et peut même ajouter de la complexité, par exemple : checosaeunBigMac,otaku?.

Méthode 3 : Poésie ou histoire

Si votre objectif est de créer un mot de passe facile à mémoriser, alors optez pour de la poésie, c’est une excellente source d’inspiration.

Votre mot de passe pourrait être une ligne ou deux d’un poème, ajoutez-y une barre oblique par exemple. Pensez aussi au latin ou à l’ancien français, voire même à des livres pour enfants. 

Méthode 4 : N'utilisez pas vos informations sur les réseaux sociaux

Partez du principe que tout ce que vous partagez sur Facebook, Twitter et Instagram peut être utilisé contre vous.

Nous vous déconseillons d’utiliser des données relatives à votre vie et connues, pour votre mot de passe. Préférez des informations dont vous êtes le seul à connaître, comme le nom des animaux de votre voisin.

Méthode 5 : Mélangez-les

Une étude sur le cracking des mots de passe, réalisée en 2013 par Ars Technica, a révélé qu’en général, les majuscules sont au début, les minuscules au milieu, et les symboles/chiffres à la fin.  

Alors, mélangez-les.

Par exemple, 2bornot2bthatisthequestion ne comporte pas de majuscule mais joue un peu avec le célèbre vers de Shakespeare. 

Prenez une phrase est abrégez-la avec des lettres manquantes ou des chiffres pour la phonétique ou le remplacement de lettres.  

Méthode 6 : Le monde est votre mot de passe

Choisissez le titre d’un livre, logeant dans votre bibliothèque, le plus étrange possible. Qui va penser à un livre de cuisine intitulé Douze mois de soupes ? 

Vous pouvez même utiliser un livre comme source de votre mot de passe, puis conserver le rappel de votre mot de passe dans un endroit sûr. 

Si vous inscrivez l’indice “Page 69, ligne 2”, personne ne devrait savoir à quoi cette indication se réfère. 

Un proche avenir sans mots de passe

Les mots de passe perdent de plus en plus leur importance. Nous nous dirigeons déjà vers un avenir où notre visage, nos empreintes digitales, notre téléphone, ou une combinaison des trois déverrouilleront notre PC, notre boite mail ou encore notre compte bancaire.

Pour le moment, aucune de ces alternatives n’est encore universelle. Tant que les mots de passe resteront d'actualité, tout ce que nous pourrons faire pour les rendre plus difficiles à hacker contribuera à tenir les pirates à distance.